Karakurt Hacking Group retter seg mot Europa og Nord-Amerika
Økonomisk motiverte trusselaktører har vært avhengige av løsepengevare det siste året. De prøver å infiltrere bedrifts- og bedriftsnettverk, og stjeler deretter viktige data før de krypterer dem. Til slutt tilbyr de offeret et alternativ – å betale hundretusenvis av dollar i bytte for et dekrypteringsverktøy, og for å stoppe de kriminelle fra å publisere dem på nettet. Det ser imidlertid ut til at det er en ny trusselaktør som har eliminert løsepengevarekomponenten i denne ligningen. De kriminelle, kjent som Karakurt, ser ut til å være målrettet selskaper i Nord-Amerika.
Karakurt er navnet på en giftig edderkopp funnet i Øst-Europa, og det er sannsynligvis inspirert av navnet på gruppen å dømme etter bildene som ble brukt for Twitter-kontoen deres. Dessverre avslører ikke dette så mye om de kriminelles identitet eller plassering. Det har allerede vært 40 bekreftede tilfeller av Karakurt-angrep, og 95 % av dem ble identifisert i Nord-Amerika – de andre var i Europa.
Karakurt-hackere stjeler filer uten å bruke løsepengeprogramvare
Som nevnt tidligere er de kriminelle ute etter å presse ofrene sine for penger. Imidlertid distribuerer de ikke en løsepengevaretrussel for å oppnå dette. I stedet bruker de en kombinasjon av offentlige verktøy og privat skadelig programvare for å fjerne sensitiv informasjon fra kompromitterte nettverk. Så snart de klarer å infiltrere et system, prøver de også å spre seg sideveis gjennom hele nettverket, slik at de får tilgang til mer data.
Et av de populære implantatene som Karakurt-hackere er avhengige av er Cobalt Strike. Men, som nevnt ovenfor, nøler de heller ikke med å distribuere legitime verktøy som AnyDesk for å få ekstern tilgang til infiserte systemer.
Det ser ut til at de fleste infiltrasjoner skjer ved å bruke påloggingsinformasjon. De kriminelle er enten avhengige av spyd-phishing-angrep, eller de bruker andre metoder for å stjele legitimasjon fra selskapets ansatte. Det er unødvendig å si at beskyttelse av nettverk fra Karakurt-angrepet krever bruk av sikre nettverkspolicyer og sikker, regelmessig oppdatert kontolegitimasjon.
